瑞星卡卡安全论坛

在虚拟机下装了个灰鸽子，上线正常

可是小弟水平不到家，想手动查杀练习一下，扫了日志后找不到灰鸽子的痕迹
高手帮忙找下

我就找到一个可疑的进程，和一个服务。
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[PID: 172 / SYSTEM][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

服务
[hack / hack][Stopped/Auto Start]
  <c:\hack.exe><N/A>

这个有问题~

我就找到一个可疑的进程，和一个服务。
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个是系统服务

[PID: 172 / SYSTEM][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]这个是IE的进程~~

我没有开ie  但是却有这个进程~~~~灰鸽子不是有3个dll文件的吗:kaka11:

试了下，把ie进程结束掉就无法正常上线了。

但是释放的文件就找不到了。。。。郁闷

删除文件c:\hack.exe

删除服务项[hack / hack]

就行了

IE浏览器是鸽子后台运行连接服务端的。。